Project

General

Profile

Actions

Demande #1752

closed

Implémenter HTTP Strict Transport Security sur april.org

Added by Benjamin Drieu over 8 years ago. Updated almost 4 years ago.

Status:
Fermé
Priority:
Normale
Category:
-
Target version:
Start date:
06/16/2016
Due date:
% Done:

100%

Estimated time:
Spent time:
Difficulté:
3 Moyen

Description

Voir : https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

D'abord, réfléchir aux implications : quel contenu ne doit pas être servi en HTTPS ?

Commencer par tester un max-age bas pour éviter les problèmes.


Related issues 2 (0 open2 closed)

Related to Admins - Anomalie #1686: Problèmes SSL TLS sur www.april.orgFerméBenjamin Drieu03/13/2016

Actions
Has duplicate Admins - Demande #1857: Cas du formulaire de login de la page http://www.april.orgFerméBenjamin Drieu02/08/2017

Actions
Actions #1

Updated by François Poulain about 8 years ago

Perso ça me semble dangereux si les applications ne sont pas conçues pour. Amha le choix du HSTS doit autant sinon plus relever du concepteur de l'application car c'est lui le seul qui est capable d'attester que c'est conçu pour fonctionner avec.

Par ex. Médiawiki chie ici : #1350 Le site ne serait il pas HS avec HSTS ?

Actions #2

Updated by Christian P. Momon about 8 years ago

Je suis à fond pour le HTTPS-Only Standard qui prône de n'utiliser que du HTTPS pour toutes les pages de tous les sites.

Voir : https://https.cio.gov/

Si un produit bug avec ça, est-ce un bon produit ? Quoiqu'il en soit, le cas par car semble inévitable et même souhaitable.

Question : plutôt que de faire HTTP STS, pourquoi ne pas faire une redirection du flux 80 vers 443 (redirect 301 ou 308) alors à quoi sert HTTP STS ?

Pour information, le redirect est super simple :

https://httpd.apache.org/docs/current/mod/mod_alias.html#redirect

<VirtualHost *:80>
        ServerName xxxx ou ServierAlias * ou autre
        Redirect / https://kiwa.devinsy.fr/
</VirtualHost>
Actions #3

Updated by François Poulain about 8 years ago

Hum, pour info, tu peux translater toute l'url, pas ne renvoyer qu'à la racine.

Actions #4

Updated by Christian P. Momon almost 8 years ago

François Poulain a écrit :

Hum, pour info, tu peux translater toute l'url, pas ne renvoyer qu'à la racine.

Me semble que l'instruction ci-dessus s'occupe de bien reprendre la partie droite de l'URL :)

Actions #5

Updated by Christian P. Momon almost 8 years ago

Aeris souffle sur IRC que le HSTS est mieux que la simple redirection car réduit le risque de mitm.

Ça laisse une possibilité de mitm mais il faut reconnaître que ça la réduit.

Même couper le port 80 laisse une possibilité de mitm.

Possibilité de pré-charger le site en mode HTST : https://hstspreload.org/ . Dans ce cas le mitm semble impossible. Mais bon, ça fait dépendre d'un fichier dont on ne sait pas grand chose de la gestion…

Actions #6

Updated by François Poulain almost 8 years ago

Me semble que l'instruction ci-dessus s'occupe de bien reprendre la partie droite de l'URL :)

Anéfé. La magie apache... ;)

Actions #7

Updated by Edouard Dausque almost 8 years ago

Benjamin Drieu a écrit :

Commencer par tester un max-age bas pour éviter les problèmes.

Et commencer par ne pas mettre la directive includeSubDomains
https://tools.ietf.org/html/rfc6797#section-6.1.2

Actions #8

Updated by François Poulain almost 8 years ago

Perso je pense que c'est une erreur tant que ce sera le drupal actuel aux manettes. Cf bug #1686.

Actions #9

Updated by Frédéric Couchet almost 7 years ago

  • Target version changed from Sprint Juin 2016 to Backlog
Actions #10

Updated by Benjamin Drieu over 6 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

HSTS a été implémenté sur april.org via NGINX. Le fichier /etc/nginx/hsts.conf doit être inclus par tout virtualhost qui désire forcer l'HSTS.

Par exemple:

server {
    listen 443;
    ssl on;

    server_name www.april.org april.org dev.april.org;

    [...]

    include /etc/nginx/hsts.conf;

    [...]
}

Pour faciliter la tâche, le fichier /etc/nginx/force-ssl.conf force un site en HTTP à passer en HTTPS et doit être inclus dans la version pur HTTP du virtualhost.

Actions #11

Updated by Benjamin Drieu over 6 years ago

  • Has duplicate Demande #1857: Cas du formulaire de login de la page http://www.april.org added
Actions #12

Updated by Benjamin Drieu over 6 years ago

  • Related to Anomalie #1686: Problèmes SSL TLS sur www.april.org added
Actions #13

Updated by Quentin Gibeaux over 5 years ago

  • Status changed from Résolu to Fermé
Actions #14

Updated by Christian P. Momon almost 4 years ago

  • Assignee set to Benjamin Drieu
Actions

Also available in: Atom PDF